ChatGPT曝严重漏洞，聊天记录黑客随意看，网友：本地运行也没用

转自：量子位 | 公众号 QbitAI

ChatGPT 长期记忆功能 出现严重漏洞！

黑客利用漏洞，一能给AI植入 虚假记忆 ，在后续回答中出现误导信息。二能植入 恶意指令 ，持续获取用户聊天数据。

聊点啥都会被看光光。

更可怕的是，即使开始新的对话，它仍阴魂不散，持续窃取数据。

而当你直接问ChatGPT 4o有没有窃取数据，它一口一个“怎么会？我没有”

电子邮件、文档、博客文章等内容都有可能成为植入“恶意记忆”的媒介，一旦植入就是 长久性 的。

职业安全研究员Johann Rehberger被曝五月份就发现了这个问题，还向OpenAI私下报告了这个漏洞。

但没被当回事儿，据说OpenAI最初将这个问题简单地归类为安全隐患，而非技术层面的安全漏洞，并匆匆结束了调查。

Rehberger随即开发了一个概念验证程序，利用这个漏洞 持续窃取用户的所有输入信息 ，OpenAI工程师这才注意到这一问题。

本月已发布了修复方案。

联系昨天OpenAI高层动荡内幕曝光，奥特曼被指不注重AI安全问题，为狙击谷歌紧急推出4o，安全团队只能在9天极短时间内完成安全测试评估……

这件事被曝出后引发网友热烈讨论。

有网友建议咱大伙儿使用的时候都本地运行。

还有网友觉得本地也没用：

大 模型无法区分 指 令和数据 。只要你允许任何不可信的内容进入你的模型，你就可能面临风险。

你允许它读取你的电子邮件，那么现在就有一个攻击途径，因为任何人都可以给你发送电子邮件。允许它搜索互联网，那么现在就又有一个攻击途径，因为任何人都可以在网上放置网页。

究竟怎么回事？

长期对话记忆功能，OpenAI今年在产品线中广为应用。

它可以存储之前对话中的信息，并在所有未来对话中将其用作上下文。这样，语言模型就能意识到用户的年龄、性别等各种细节，用户无需在每次对话中重新输入这些信息。

GPT-4o发布时，就向所有Plus用户开放了记忆、视觉、联网、执行代码、GPT Store等功能。

最近高级语音“Her”Plus用户全量发布，也有记忆功能。

一开始记忆功能推出后不久，Rehberger就发现了这一漏洞：

用“ 间接提示注入 ”的攻击方法可以创建和永久存储记忆，使模型遵循来自电子邮件、博客文章或文档等不可信内容的指令。

下面是Rehberger的演示。

他可以成功欺骗ChatGPT相信目标 用户102岁、生活在黑客帝国中、地球是平的 。 AI会将这些信息纳入考虑，影响所有未来的对话。

这些虚假记忆可以通过在Google Drive或Microsoft OneDrive中存储文件、上传图像或浏览Bing等网站来植入，这些都可能被恶意攻击者利用。